Microsoft n’a pas besoin de mandat pour fouiller les emails de ses comptes

Comme nous l’avons vu en fin de semaine dernière, un employé de Microsoft a été arrêté pour avoir volé et diffusé des secrets commerciaux, sous la forme notamment de préversions de Windows 8. Un grand nombre de ces informations a transité vers un blogueur français. Or, la firme a avoué qu’elle avait bien fouillé dans les emails de ce dernier, soulevant des questions sur le respect de la vie privée et l'absence d'intervention d'un juge.

Un compte Microsoft ouvert dans Outlook.com, anciennement Hotmail

Alex Kibkalo a été arrêté mercredi dernier à la suite d’une enquête du FBI pour vol de secrets commerciaux. On sait d’après les documents officiels qu’il a notamment provoqué la fuite de préversions de Windows 7 et 8, ainsi que d’une copie de l’Activation Server Software Development Kit (ASSDK), qui permet la vérification des clés d’installation de Windows. Un blogueur français a été le principal bénéficiaire de ces informations et beaucoup regardent en direction de Canouna, auteur du blog WinUnleaked.tk, dont les informations étaient particulièrement précises. Kibkalo est également accusé d’avoir cherché à vendre des clés d’activation de Windows sur eBay.

Un processus décisionnel strictement interne 

L’ironie, pour Kibkalo, est que c’est ce blogueur qui a involontairement provoqué sa « chute ». En possession de l’ASSDK, le Français s’est en effet tourné vers un autre employé de Microsoft pour en contrôler l’authenticité. Ce dernier a informé directement la direction qui, elle, a confié la mission à la division Trustworthy Computer Investigations (TWCI) de vérifier la légitimité du kit et de chercher l’origine de la fuite.

C’est ici qu’intervient l’examen du compte Hotmail que le blogueur français a utilisé pour contacter le deuxième employé de Microsoft. Un compte rempli de fausses informations, mais la firme souhaitait examiner les emails eux-mêmes. Pour ce faire, la division TWCI a demandé l’autorisation à l’Office of Legal Compliance (OLC) de procéder à l’opération. Ce dernier vérifie la conformité de ce type d’action avec la loi ainsi que les conditions d’utilisation. Et justement, ces dernières prévoient un tel cas de figure dans la section 5.3.

Seulement voilà. Prévoir un tel cas de figure et l’utiliser véritablement, tout en le confirmant ouvertement, est une toute autre paire de manches. Le sujet est d’autant plus sensible qu’il prend place dans un monde post-Snowden et quelques jours à peine après que la NSA a révélé que le programme Prism non seulement existe bien, mais que les grandes entreprises du cloud étaient au courant et aidaient l’agence de sécurité.

« Lorsque Microsoft estime en toute bonne foi que cela est nécessaire... »

Dans un commentaire apporté à Ars Technica, Microsoft explique son point de vue sur la situation : « Durant une enquête portant sur un employé, nous avons découvert la preuve qu’il diffusait de la propriété intellectuelle, dont du code relatif à notre processus d’activation, à un tiers. Afin de protéger nos clients, la sécurité et l’intégrité de nos produits, nous avons conduit une enquête sur de nombreux mois avec les organismes chargés de l’application de la loi dans de multiples pays. Cela comprenait l’émission d’un mandat pour la recherche de preuves dans un domicile en liaison avec les actes criminels constatés. L’enquête a permis de trouver à plusieurs reprises des preuves formelles que le tiers impliqué comptait vendre de la propriété intellectuelle de Microsoft et qu'il l’avait déjà fait par le passé ».

Et la firme de continuer, avec précaution : « Dans notre enquête, nous avons procédé à un examen limité des comptes Microsoft de la personne tierce. Bien que les conditions d’utilisation de Microsoft autorisent expressément ce genre de vérification, cette dernière ne survient qu’en cas de circonstances exceptionnelles. Nous appliquons un processus rigoureux avant d’examiner un tel contenu. Dans ce cas, il y a bien eu un examen rigoureux par une équipe juridique indépendante de l’équipe d’enquête et de fortes preuves d’un acte criminel qui nécessitait un mandat pour chercher dans d’autres sites ».

Même si la communication se fait plus soignée et que la propriété intellectuelle de Microsoft a bien été atteinte, la firme ne peut pas empêcher une mauvaise image de se mettre en place car aucun mandat n’a été utilisé pour la recherche sur le compte email du blogueur. Et si elle peut chercher dans les comptes sans intervention d’un juge, le danger est de donner l’apparence d’une entreprise qui se fait elle-même justice, même si le FBI était bien impliqué depuis le début.

Un processus plus clair mais toujours sans intervention extérieure de la justice 

Et c’est précisément parce que Microsoft est consciente de la corde raide que représente le respect de la vie privée aujourd’hui qu’elle a réagi une deuxième fois. Elle explique ainsi qu’aucun mandat n’est nécessaire pour conduire une recherche interne mais que les circonstances de ce cas étaient exceptionnelles. La firme va cependant mettre en place une chaine décisionnelle plus claire pour savoir si, oui ou non, elle doit mener une telle recherche :

• L’examen par l’équipe juridique, indépendant de l’équipe d’enquête, ce qui est déjà le cas actuellement.
• En cas de feu vert, le dossier sera transmis à un avocat et ancien juge, extérieur à l’entreprise, pour examen et comparaison avec des affaires similaires qui, dans de semblables circonstances, nécessiteraient un mandat dans une enquête classique.
• En cas de second feu vert, la recherche aura lieu.

Microsoft précise toutefois qu’exception faite des recherches qui pourraient avoir lieu sur ses propres employés, toutes les enquêtes internes seront notées dans les rapports semestriels de transparence, les mêmes qui contiennent déjà les informations sur les demandes des agences de renseignement.

Mais Microsoft aura beau vouloir se montrer plus claire sur ce type de processus, elle ne peut pas masquer le fait qu’elle peut fouiller dans les comptes sans intervention d’un juge, puisque seul ce dernier est garant de l’indépendance de la justice. Le processus de vérification passe en effet par une équipe différente mais toujours interne, et l’ancien juge consulté facture évidemment ses honoraires à Microsoft.

L'EFF fustige un « tribunal interne de l'ombre » 

L’Electronic Frontier Foundation (EFF) s’engouffre dans ce vide en accusant Microsoft d’avoir préféré un « tribunal interne de l’ombre » à une solution plus classique : « Si l’équipe juridique indépendante de Microsoft avait conclu à une cause probable, elle aurait pu passer les informations au FBI pour obtenir une mandat et conduire l’enquête sous les auspices du système de justice. Ces protections, entérinées par la Constitution, seraient préservées ». L’EFF souligne également que la firme aurait satisfait aux règles de l’ECPA (Electronic Communications Privacy Act) et aurait ainsi pu ressortir auréolée d’une grande morale.

La fondation n’est que peu sensible aux mesures que Microsoft mettra en place. Qu’un ancien juge donne son opinion et valide un dossier ne remplace pas un juge qui, lui, est un « magistrat neutre et détaché » qui ne facture en outre rien à Microsoft. Et non seulement la firme violerait le quatrième amendement de la Constitution américaine, mais l’EFF craint également qu’elle pourrait abuser sa propre équipe juridique en orientant le dossier selon un langage spécifique.

Pour la fondation, Microsoft joue donc avec le feu. Et si la firme communique abondamment sur le sujet depuis les révélations initiales du Seattle PI, c’est que le vol des secrets commerciaux par Alex Kibkalo n’est pas le seul aspect de l’affaire. Cette dernière révèle selon l’EFF comment une entreprise peut finalement se faire elle-même justice, qu’elle dispose d’une équipe juridique ou pas : même si les preuves sont évidentes et manifestes, il n’y a aucune intervention de la justice. Et les retombées en termes d’image pourraient être d’autant plus importantes que le respect de la vie privée est depuis des années le cheval de bataille dans la campagne de Microsoft contre Google.